[发明专利]僵尸网络检测方法和控制器

权利要求书

1.一种僵尸网络检测方法，其特征在于，包括：

接收软件定义网络SDN中的openflow交换机在第一预设时间段内上报的流转发规则的统计信息，所述流转发规则包括子流转发规则和与所述子流转发规则对应的母流转发规则，所述统计信息包括所述子流转发规则的第一匹配次数和所述母流转发规则的第二匹配次数；

其中，所述子流转发规则用于指示将SDN中与所述子流转发规则中的源IP地址对应的数据包转发至与所述子流转发规则中的目的IP地址对应的SDN外部的服务器，所述母流转发规则用于将SDN中与所述源IP地址对应的子网地址内的数据包转发至所述服务器；

根据所述第一匹配次数和所述第二匹配次数，计算所述服务器被所述SDN中任一用户终端访问的访问概率，获得所述服务器的访问概率集合；

根据所述访问概率集合，计算访问所述服务器中任意两个服务器的用户终端的相似度，得到访问相似度矩阵；

采用预设谱聚类算法对所述访问相似度矩阵进行谱聚类，获得聚类结果；

根据所述聚类结果确定是否存在僵尸网络。

2.根据权利要求1所述的方法，其特征在于，所述根据所述第一匹配次数和所述第二匹配次数，确定所述服务器被所述SDN中任一用户终端访问的访问概率，获得所述服务器的访问概率集合，包括：

根据下列公式计算所述服务器被所述SDN中的任一用户终端访问的平均访问次数：

其中，为对服务器s的平均访问次数，用户终端h为所述SDN中的任一用户终端，n_hs为用于将用户终端h的数据包转发至服务器s的子流转发规则f_hs的第一匹配次数，m_s为目的IP地址对应所述服务器s的子流转发规则的个数；

根据下列公式依次计算所述流转发规则中目的IP地址对应的服务器被所述SDN中任一用户终端访问的访问概率，获得所述服务器的访问概率集合：

其中，p_hs为SDN中的任一用户终端h访问任一流转发规则中目的IP地址对应服务器s的访问概率，为采用第k个子流转发规则和对应的母流转发规则得到的h访问s的访问概率，根据下列公式确定：

其中，h_k为采用第k个子流转发规则的用户终端，H_k为与第k个母流转发规则对应的SDN中的子网，为子网H_k中包含的用户终端数量，为第k个母流转发规则的第二匹配次数。

3.根据权利要求2所述的方法，其特征在于，所述根据所述访问概率集合，计算访问所述服务器中任意两个服务器的用户终端的相似度，得到访问相似度矩阵，包括：

依次针对所述服务器中的任意两个服务器s_p和s_q，根据下列公式计算所述SDN中访问服务器s_p的用户终端与服务器s_q的用户终端的相似度，得到访问相似度矩阵：

A_pq＝|U_p∩U_q|/|U_p∪U_q|

其中，A_pq为所述相似度，U_p为访问服务器s_p的用户终端组成的群体，U_q为访问服务器s_q的用户终端组成的群体，|U_P∩U_q|为既访问服务器s_p又访问服务器s_q的用户终端的个数，根据下列公式确定：

|U_P∪U_q|为访问服务器s_p或者访问服务器s_q的用户终端的个数，根据下列公式确定：